Paiement sécurisé perso

[michmuch51]

Bonjour les Hubiens,

je suis à la recherche d'infos concernant la mise en place d'un paiement sécurisé assuré par le marchand lui même.

Souvent nous voyons les marchands passer par des tiers tel que e-transaction, cyberpaiement... des pourcentages plutôt élevés sont prélevés suite aux différentes transactions, je sais que de nombreux sites pratiquent également le paiement cb par leurs soins, savez vous où je pourrai trouver un max d'infos sur le sujet ??

Modifié 19 Décembre 2005 par michmuch51

[AvenueDuWeb]

Salut,

Dans ce cas-là il me semble que le commerçant achète un certificat ssl, et conserve le numéro de carte bleue du client (dans une base de données ou dans un fichier) pour le taper manuellement sur un TPE. Il me semble que cela fonctionne comme cela, les spécialistes e-commerce te confirmeront (ou infirmeront), sur un système comme celui-là, certificat SSL indispensable et même avec ça j'aurai quand même largement moins confiance que dans un système type paypal ou bancaire.

@+

[Perrine]

Salut michmuch,

Je confirme les dires d'AvenueDuWeb. L'année dernière, j'ai fait un court passage dans une agence web et je me souviens mettre occupée de l'achat d'un certificat SSL pour un de nos clients : c'est cher (entre 150 et 1500 euros si mes souvenirs sont bons)

Ensuite, il faut configurer le serveur avec les éléments données par ton fournisseur. Toujours dans mes souvenirs, à l'époque, Thawte était pas mal placé niveau qualité et suivi du client.

Côté client, comme le dit AvenueDuWeb, les coordonnées bancaires sont stockés dans ta base et tu tappes toi-même le code sur ton TPE. Bien sûr, pendant le transit et le stockage des données bancaires, tout ça est crypté.

J'avais trouvé ce système pas si fiable que ça finalement car ça m'avait choqué que le commerçant puisse accéder au numéro de carte du du client.

Mais peut-être les choses ont-elle évoluées ?

[robinsonvendredi]

C'est très très risqué :

Lire ceci :

Délibération n° 2003-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance

[Toucouleur]

C'est très très risqué :

Lire ceci :

Délibération n° 2003-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance

<{POST_SNAPBACK}>

c'est surement très risqué mais c'est pas compliqué à mettre en place.

Disons, que quand vous mettez du SSL et paiement intégré au site web, faut assurer derrière, pas question de se faire hacker sa boutique, parcequ'en cas de fraude sur une série de cartes identifiées comme ayant été utilisées sur votre site web, là vous prenez cher. Très cher.

Mais en soit, c'est vraiment pas compliqué. On achète un certificat (chez Verisign pour pas leur faire de pub, mais parcequ'ils marchent très bien et ont un vrai support clientèle) on l'installe sur son dédié et hop, le tour est joué.

J'utilise cette solution (paiement en direct sur le site web) pour 2 de mes plus gros clients mais sachez que mis à part si vous avez des accords particulier avec ATOS (comme c'est le cas pour voyages-sncf par exemple), et bien vous aurez toujours une chtite comission à verser à l'organisme chargé de réguler les transactions. Mis à part si après vous voulez vous retapper des n° de CB sur votre TPE.

Zavez intéret à utiliser Fianet ou similaire si vous vous lancer dans ce type de paiement...

[michmuch51]

merci à tous pour les infos,

je vais continuer à creuser la question, mais il est vrai que ca doit la foutre mal de se faire hacker le site avec les numéros des clients. Cela dit, dans le cas de ventes à distance, les clients peuvent faire opposition pendant 6 mois suite à la date de la transaction et ils se verront rembourser tous leurs frais. Donc le risque ne serait pas du coté du client mais plutot de celui du commercant qui perd sa marchandise envoyée.

Connaisant les taux de commissions sur les transactions et le CA réalisé pendant les fêtes il est vrai que l'on trouve très très honéreux les solutions assurées par des tiers, sachant que de plus ils n'assurent pas que la carte ne soit pas volée, puisqu'ils la plupart des banques invitent les marchands à souscrire à Fianet en parallèle...

enfin bon... Merci en tout cas pour vos lumières

[AvenueDuWeb]

Je confirme les dires d'AvenueDuWeb. L'année dernière, j'ai fait un court passage dans une agence web et je me souviens mettre occupée de l'achat d'un certificat SSL pour un de nos clients : c'est cher (entre 150 et 1500 euros si mes souvenirs sont bons)

Les certificats SSL ont pas mal baissés et sont trouvables à moins de 40 maintenant. Par contre il faut presque un serveur dédié parce qu'il faut une adresse IP unique pour le certificat, perso je l'ai fait pour un client en mutualisé, et je l'ai mis sur une IP unique, mais je me vois pas le faire pour chaque client. @+

[robinsonvendredi]

Donc le risque ne serait pas du coté du client mais plutot de celui du commercant qui perd sa marchandise envoyée.

<{POST_SNAPBACK}>

Non ! Le risque est pénal : 5 ans d'emprisonnement et 300 000 euros d'amende

Prend un peu le temps de lire ceci

En cas de problème les tribunaux estimeront si tu as mis en oeuvre "toutes les précautions utiles pour préserver la sécurité de ces informations".

Par exemple, qu'est ce qui empêche un employé mal intentionné de ton hébergeur de lire les No de cartes de crédit sur ta base de données : rien, sauf cryptage de la base, y as tu pensé ?.

[Anonymus]

Par exemple, qu'est ce qui empêche un employé mal intentionné de ton hébergeur de lire les No de cartes de crédit sur ta base de données : rien, sauf cryptage de la base, y as tu pensé ?.

<{POST_SNAPBACK}>

D'ailleurs, c'est essentiel !!

Tu ne peux pas garder les numéros de carte sans un minimum de sécurité de ce coté ci :

Je ne me rappelle plus le chiffre, mais.. ca doit tourner autour de 50% des problèmes de 'vol de contenu' qui seraient faits par des personnes accréditées. Autrement dit : "Le loup est 'toujours' dans la bergerie".

[robinsonvendredi]

Oui le cryptage sur la base avant le traitement du paiement c'est un minimum mais je pense que ce n'est pas suffisant.

A mon avis, les seules personnes autorisées à conserver sur le long terme des No de cartes bancaires sont les banques.

Si tu es commercant ou intermédiaire technique je te conseille vivement de supprimer de ta base les No après traitement.

Ceci dit, il doit y avoir d'autres précautions importantes à prendre.

Il existe des logiciels de traitement des paiements, si tu souhaites prendre en charge ces traitements , il faut obtenir les specs des logiciels existants + toute la documentation juridique nécessaire.

Bref il faut avoir une démarche professionnelle + une bonne assurance ou alors tu laisses faire ATOS...