Blogue

Smartphones, tablettes et mobilité : Wifi, sécurité et conformité PCI ?

Cogeco Peer 1

mars 22, 2012

Share:    

L’usage de plus en plus fréquent du smartphone et de la tablette numérique dans les surfaces commerciales apporte de multiples avantages aux gestionnaires de magasins comme aux clients. Ils offrent un nouveau mode de communication vers les consommateurs et sont des outils de productivité appréciés par les managers et le personnel. Mais ces usages reposant sur des liaisons wifi, il est important de repenser au plus vite les modes d’accès au réseau sans fil afin de sécuriser les transactions et d’offrir le niveau de service qu’est en droit d’attendre le client.

Les réseaux radio wifi ont d’abord été déployés dans les linéaires et les réserves pour faciliter la gestion des stocks et supporter des fonctions de back office en mobilité. Ils ont ensuite été étendus au sein des points de vente ce qui a imposé de respecter les exigences de la norme PCI pour protéger les données personnelles des porteurs de cartes bancaires et sécuriser les processus d’authentification. Le wifi permet aussi aux responsables des magasins d’accéder au reporting commercial partout dans leur entreprise sans être obligé d’être installé sur leur bureau. Plus récemment, on a vu des vendeurs équipés de tablettes numériques arpenter les allées des magasins pour aider les clients à trouver les produits recherchés, les informer sur leur composition, vérifier leur présence en stock ou passer commande. Un réseau sans–fil implanté dans un environnement commercial peut aussi prendre en charge des applications mobiles qui « poussent » des informations promotionnelles ou des bons de réduction électroniques vers les smartphones et les ardoises digitales des clients.

La multiplication de ces usages et la diversité des utilisateurs imposent de regarder de près l’état sécuritaire du réseau d’autant que l’environnement radio est par définition très perméable y compris depuis l’extérieur d’un bâtiment. La norme Payment Card Industry Data Security Standard (PCI-DSS), jusqu’ici considérée en Europe seulement comme une « bonne pratique », est désormais imposée par les principaux acteurs bancaires et deviendra une obligation dés le 1er janvier 2013 pour tous les adhérents du réseau Visa.

Les exigences des groupements de cartes bancaires.

Les groupements de cartes bancaires (American Express-Amex, Visa et Mastercard) ont des exigences de conformité PCI qui varient en fonction des volumes de transactions et qui sont surtout plus contraignantes lorsque des réseaux wifi sont utilisés dans les processus de transactions. PCI-DSS hiérarchise ces exigences en trois catégories.

La catégorie « 1 » s’adresse aux enseignes de commerce qui n’utilisent pas de réseaux sans fil. La consigne est de veiller à ce qu’il n’existe pas de point d’accès radio indésirable sur leur réseau en réalisant des inspections physiques mais aussi en analysant fréquemment l’environnement radio et en utilisant des outils de détection et de prévention des intrusions en environnement sans fil. Les entreprises qui utilisent un réseau sans fil mais sans y transmettre de données de paiement sont conviées à se conformer aux critères de la catégorie « 2 ». Celle-ci reprend les spécifications de la précédente en y adjoignant un inventaire du réseau sans fil, la présence d’un pare-feu qui dissocie le domaine radio du domaine filaire et l’utilisation d’un chiffrement et d’une authentification forts. Les commerçants qui utilisent leur réseau sans fil pour transmettre des données relatives aux cartes bancaires sont soumis aux exigences les plus sévères spécifiées dans la catégorie « 3 » qui cumule évidemment les contraintes précédentes en y ajoutant l’interdiction d’utiliser des mots de passe ou des configurations implémentées par défaut (les réglages d’usine par exemple), la mise à jour régulière des patchs de sécurité, un usage des accès réglementé à partir de listes d’utilisateurs (rôles) et une surveillance systématique de ces différents points.

La mise en œuvre d’une politique d’accès sur la base de listes d’utilisateurs (rôles), comme l’exige PCI, dissociera évidemment les collaborateurs des clients qui seront considérés comme invités sur le réseau. Pour que l’infrastructure demeure flexible, il est plus pertinent que ces rôles ne soient pas seulement définis par les profils des utilisateurs (collaborateur, manager, client), mais en se référant aussi aux équipements utilisés (tablette numérique, smartphone, terminal scanner portatif) et aux applications (point de vente, base de données, accès à Internet). Cette approche a l’avantage de prendre en compte le contexte dans lequel le réseau est utilisé et permet la mise en œuvre d’une exploitation du réseau sans fil plus flexible et plus efficace. Ces notions de sécurité, de capacités d’infrastructure et de flexibilité par rapport aux usages deviennent essentielles pour qui veut déployer des réseaux sans fil de nouvelle génération dans les surfaces de vente. L’impératif premier est bien entendu de se conformer aux exigences de la standardisation PCI-DSS. Le dimensionnement des capacités de transmission du réseau doit être calculé pour accueillir les besoins propres des collaborateurs mais aussi ceux des clients toujours plus nombreux à utiliser tablette et smartphone. La flexibilité s’impose aussi pour pouvoir s’adapter rapidement aux évolutions des usages et demeurer en capacité de progresser dans un environnement concurrentiel.


Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis