22 janvier 2019

Carte à puce ou HSM - Quelle est la meilleure solution pour votre entreprise ?

38,8 milliards de paiements ont été envoyés au Royaume-Uni en 2017. Parmi ceux-ci, 4,2 milliards étaient des paiements d'entreprise. Si vous lisez ces lignes, il est probable que vous apparteniez à l'une des organisations qui effectuent ces milliards de paiements, mais saviez-vous qu'il existe différentes façons de les autoriser ?

Il se peut que vous vous accrochiez à votre fidèle carte à puce et à votre lecteur de cartes, que vous emportiez partout avec vous. Mais il existe des options qui vous offrent une flexibilité totale sur la manière, le lieu et le moment où vous effectuez ces paiements.

Votre choix dépend de ce qui vous importe le plus en tant qu'entreprise : la sécurité physique ou la flexibilité et l'automatisation. Pour vous aider à y voir clair, AccessPay demande : "Quelle est la différence entre les soumissions par carte à puce et le HSM ?" et "Quelle est la meilleure solution pour votre organisation ?".

Qu'est-ce qu'une carte à puce ?

Commençons par définir les termes - Qu'est-ce qu'une carte à puce ?

Il s'agit d'un dispositif de sécurité physique que les entreprises utilisent pour valider et authentifier les paiements électroniques et les transactions bancaires. De la taille d'une carte de crédit, elle contient une puce mémoire qui stocke des clés de sécurité. Ces clés permettent le cryptage et l'authentification des transactions lorsqu'elles sont connectées à un lecteur de cartes à puce.

Comment cela fonctionne-t-il ? Vous avez besoin de trois éléments pour utiliser les cartes à puce. La carte et le lecteur, ainsi qu'un logiciel sur site (en général Gemalto) pour y accéder. Avec ces derniers, vous pouvez vous connecter en saisissant un code PIN, puis approuver manuellement les paiements et/ou les demandes de recouvrement.

Une carte à puce doit être attribuée à chaque personne de votre organisation qui a le pouvoir de soumettre des fichiers de paiement. Un point crucial à prendre en compte, cependant, est que les cartes à puce fonctionnent manuellement, donc les soumissions ne peuvent pas être automatisées.

Qu'est-ce que le HSM ?

HSM est l'abréviation de Hardware Security Module. Il fait effectivement le même travail qu'une carte à puce, mais différemment. Il s'agit d'un dispositif de sécurité matériel qui génère, stocke et protège les clés cryptographiques qui autorisent les personnes à effectuer des paiements. Le HSM fournit la base dont vous avez besoin pour une autorité de certification de haut niveau et sécurisée. Rien ne vous empêche non plus de l'automatisation des soumissions au Bacs; ce qui est très utile lorsque l'on recherche une efficacité maximale.

Cette technologie a parcouru un long chemin. À l'époque, chaque organisation devait acheter un boîtier HSM physique pour stocker son certificat. C'est ce qui permettait de signer numériquement les soumissions (ce qui coûte généralement environ 10 000 £).

Heureusement, les fournisseurs spécialisés dans les solutions basées sur le cloud, comme AccessPay, proposent désormais un HSM basé sur le cloud. Nous stockons le dispositif physique dans notre centre de données, tandis que vous recevez un certificat numérique qui est à la fois stocké sur ce dispositif et sauvegardé sur un autre dispositif. Cela signifie qu'ils sont faciles à utiliser et hautement sécurisés, et que vous n'avez pas besoin de maintenir un dispositif physique sur le site, donc il n'y a aucun risque qu'il soit endommagé ou volé.

Tout le monde peut utiliser le HSM. Mais est-ce que cela vous convient ? C'est ce à quoi nous allons tenter de répondre dans la suite de cet article. Tout d'abord, il y a une certaine terminologie que nous devons aborder...

HSM surveillés et non surveillés

Il y a deux façons d'utiliser HSM pour soumettre un fichier de paiements ou de recouvrement : Avec et sans surveillance.

Attended est destiné à ceux qui apprécient la flexibilité. Supposons que vous soyez un client AccessPay avec Attended HSM. Il vous suffit de vous connecter à notre plateformeVous devez alors approuver vos fichiers (il peut s'agir de 4 ou 6 approbations oculaires) et, lorsque vous avez terminé, appuyer physiquement sur le bouton "Envoyer", et ce, depuis n'importe quel appareil. Les fichiers seront automatiquement envoyés à Bacs sans que vous ayez à saisir le code de votre carte à puce. L'avantage est que vous disposez toujours d'un processus d'approbation sécurisé, mais que vous pouvez effectuer des soumissions à tout moment et en tout lieu, et pas seulement depuis l'endroit où votre carte à puce est installée.

Unattended HSM automatise l'ensemble du processus. Dès qu'un fichier est téléchargé, il est automatiquement envoyé sans aucune vérification ni approbation (alias. traitement direct). Cette solution est idéale pour les organisations qui effectuent toutes leurs approbations dans leur système de back-office ou pour celles qui effectuent régulièrement un grand nombre de transactions et n'ont pas le temps de toutes les vérifier et/ou de les approuver. AccessPay propose les deux types de HSM et nous pouvons vous aider à choisir celui qui vous convient le mieux.

Quelle est la différence ?

Il existe de grandes différences entre les cartes à puce et les HSM.

Les deux ont des avantages : les cartes à puce sont efficaces pour lutter contre la fraude liée aux paiements des employés. En effet, l'autorisation est attribuée à la personne qui, au sein de votre organisation, est habilitée à effectuer des soumissions. Elle crée une piste d'audit détaillée qui permet de retracer plus facilement les activités frauduleuses. Certaines personnes préfèrent simplement le confort d'un dispositif de sécurité physique. Vous pouvez également mettre en place des cartes à puce rapidement et à moindre coût, car vous n'avez pas besoin de demander un certificat HSM à la banque (nous y reviendrons plus tard).

Les HSM ont aussi leurs avantages. Du point de vue de la sécurité, l'automatisation de la soumission des paiements élimine le problème de l'erreur humaine qui accompagne les soumissions manuelles. Cette technologie est également inviolable. Les HSM génèrent un code numérique unique qui est attribué à votre organisation. Il est donc difficile pour les cybercriminels d'effectuer des paiements à partir de vos comptes, car ils n'ont pas accès à ce code.

Les HSM peuvent également servir de pivot à tout bon système de gestion de la qualité. Reprise après sinistre politique. Votre HSM vit dans le nuage, et la boîte nécessaire pour le stocker est conservée dans un endroit sécurisé. Ainsi, si vous ne pouvez pas accéder à vos locaux physiques - ou s'ils sont frappés par une catastrophe telle qu'une inondation - vous pouvez toujours effectuer des transactions, par exemple la paie, à temps, car vous pouvez accéder à distance à votre HSM à tout moment et depuis n'importe quel endroit.

Quand cela ne vous convient-il pas ?

Dans certains cas, les cartes à puce ou les HSM ne conviennent pas à votre organisation. Les inconvénients des cartes à puce sont évidents. Comme il s'agit de dispositifs physiques, elles peuvent être perdues, facilement cassées, volées, etc. En outre, vous devez installer un logiciel sur site pour qu'une carte à puce fonctionne, et avoir la carte et le dispositif avec vous chaque fois que vous voulez faire une soumission, ce qui limite la flexibilité. Enfin, il y a le problème de l'erreur humaine. Par exemple, votre soumissionnaire pourrait oublier son code d'accès, ce qui l'empêcherait de compléter les soumissions Bacs à temps - ou pire encore, il pourrait ne pas être disponible du tout, pour les raisons suivantes maladie.

Les HSM ne conviennent pas non plus à tout le monde. Le processus de mise en place d'un HSM est complexe - et nécessite une plus grande implication de votre banque - que celui des cartes à puce. En effet, pour accéder à cette technologie, vous devez demander et payer le certificat HSM à votre banque, et le renouveler tous les trois ans. Par conséquent, si vous avez un besoin simple en matière de bacs, c'est-à-dire si vous avez de faibles volumes de transactions, il se peut que vous n'ayez pas intérêt à utiliser le HSM, car il ne répond pas aux besoins de votre organisation.

En outre, les HSM sont attribués à une organisation et non à un individu, comme c'est le cas pour les cartes à puce. Il est donc difficile de savoir qui, au sein de votre organisation, a effectué un paiement, et donc de lutter contre la fraude liée aux paiements des employés. Vous pouvez lutter contre ce problème avec des outils de sécurité tels que authentification à deux facteursqui exige que l'expéditeur vérifie son identité par une autre forme d'authentification que le mot de passe au moment de la connexion.

Quelle est la meilleure solution pour vos paiements ?

En tenant compte de tout cela, quelle est la meilleure solution pour vos soumissions Bacs et autres paiements ? Cartes à puce ou HSM ?

Si vous souhaitez automatiser davantage vos processus de paiement, renforcer votre politique de reprise après sinistre ou offrir à votre personnel des possibilités de travail à distance, vous pouvez investir dans un HSM. Les données montrent que près de la moitié de la main-d'œuvre britannique travaillera à distance d'ici 2020, de sorte que le HSM pourrait vraiment aider votre organisation à prendre de l'avance dans le recrutement des meilleurs talents. En revanche, si vos besoins en matière de Bacs sont simples et modestes - disons que vous traitez moins de 1 000 transactions par mois - les cartes à puce sont votre meilleur atout.

Prenez contact avec nous avec l'équipe d'AccessPay dès aujourd'hui pour découvrir comment vous pouvez utiliser les cartes à puce ou le HSM pour transformer les paiements de votre organisation.