Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mastercard et Amazon : un « jeton » pour remplacer les informations de la carte bancaire

Mastercard et Amazon : un « jeton » pour remplacer les informations de la carte bancaire

Le 18 juin 2020 à 09h38

L’éditeur de carte bancaire explique que « les données des cartes des clients d’Amazon dans douze pays d'Amérique du Nord, d'Amérique latine, du Moyen-Orient et d'Europe seront tokénisées ». 

La société explique que, « en remplaçant le numéro d’une carte physique par un jeton, les informations de paiement sont uniques à chaque transaction et ne peuvent être utilisées que par le commerçant qui les a demandées ».

En plus de la sécurité, Mastercard met en avant un second avantage : « contrairement aux cartes physiques, les jetons n'expirent pas. Lorsque les consommateurs reçoivent une nouvelle carte physique de leur banque, leurs informations d'identification sont automatiquement mises à jour, supprimant la nécessité de rentrer le numéro de la carte ».

Amazon prendra en charge ce type de paiement cette année.

Le 18 juin 2020 à 09h38

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je me demande pourquoi le payement physique (carte physique + PIN + lecteur de carte) n’a jamais été mis en place.

Surtout qu’un lecteur de carte USB ou BT produit à grand volume ça ne devrait pas coûter bien cher en 2020

votre avatar

C’est dommage , c’est bien pratique d’avoir un nettoyage des abonnement quand tu change de carte.



mais si l’interface de la banque permet de revoker les token manuellement c’est encore mieux



Après un system de token ça fonctionne bien ( mais i il faut toujours rentrer son numéro de carte sur le site ? ou une popup mastercard.com s’ouvre avec une callback vers amazon ?)

votre avatar







sylvere a écrit :



Je me demande pourquoi le payement physique (carte physique + PIN + lecteur de carte) n’a jamais été mis en place.

Surtout qu’un lecteur de carte USB ou BT produit à grand volume ça ne devrait pas coûter bien cher en 2020







Et dire qu’il y a plus de 20 ans ma mère payait sa commande La Redoute directement sur son minitel Magis <img data-src=" />


votre avatar

votre avatar

Un lecteur de cartes bancaires coûte cher si, et on n’en obtient pas n’importe comment. Entre utiliser un simple token généré par la banque et lire les informations de la puce électronique de la carte en allant ensuite interroger la banque, ce n’est quand même pas la même chose…



Surtout qu’un TPE sert à faire des virements entre la carte utilisée et un compte prédéfini, ce qui ne fonctionnerait pas ici.

votre avatar

Quelle est la différence avec une e-carte bleue ?

votre avatar

ici, les jetons n’expirent pas. Les e-carte bleue sont en général valides 2 ou 3 mois et pour un montant maximum.

votre avatar

donc si tu donnes ton jetons le commerçant a accès open-bar ? j’espère qu’ils ont prévu la possibilité de limiter la valeur et/ou la validité

votre avatar

non ca coûte moins de 15eur, surement encore moins cher chez ali. Ce qui coute cher c’est un terminal de payement pour un commerçant, mais c’est pas pareil. Quand à la possibilité de faire autre chose que des virements avec c’est au bon vouloir des organismes de mettre en place de nouvelles norme s’ouvrant ou e-commerce, il faut mettre en place aussi une compatibilité entre le navigateur et le lecteur.

Ca nécessite un peu de travail sur la chaine carte - lecteur - navigateur - commercant - banque, mais en 20 ans de ecommerce ils n’ont juste jamais rien fait pour aller vers de l’authentification forte

votre avatar

C’est autant “openbar” pour le commerçant que quand tu enregistres ta CB sur le site.

Par contre, en cas de fuite, le token ne sert à rien, alors que les info CB… <img data-src=" />

votre avatar

En plus sur téléphone on peut utiliser le NFC pour ça.

votre avatar

Ce n’est absolument pas sécurisé d’utiliser un simple lecteur de cartes pour des transactions bancaires. D’où l’existence des TPE d’ailleurs.



“ils n’ont juste jamais rien fait pour aller vers de l’authentification forte” =&gt; faux, les banque ont de plus en plus une authentification extrêmement forte. Ma banque par exemple me demande une validation sur mon smartphone avec un code secret quand je me connecte depuis un nouveau navigateur, plus une seconde validation et la saisie d’une clé secrète choisie au hasard parmi une grille quand je fais une opération bancaire.

votre avatar

Ce qui est pénible dans ces histoires de “Tokens” est qu’effectivement les commerçants se réservent le droit d’en disposer aussi longtemps qu’ils le souhaitent, sans nous informer clairement sur le sujet (Amazon ? Cdiscount ?). 




 Et à côté de cela, la banque ne nous prévient pas mieux. Par contre les jetons sont validés dans les Conventions Générales des paiements à distance par Carte.       







 Dans celles de la Caisse d'Epargne, leur existence n'est cité que d'un seul article (4.19.4).






  • « Chaque Token a un numéro unique, et peut être activé ou désactivé indépendamment de la Carte. » &lt;&lt;&lt; Ils ne nous précisent pas OU et COMMENT.

  • « Si l’Accepteur conserve les données liées à la Carte sous forme d’un Token et sous réserve de disponibilité duservice auprès de l’Acquéreur, ce Token peut être mis à jour automatiquement en cas de renouvellement de laCarte physique. » &lt;&lt;&lt; PEUT, non pas SERA. Et sera-t-on informé si ce sera fait ou non ?



    Sauf que la banque se défausse sur le commerçant pour la mise à jour du dit jeton…





    Dans le cas où [le commerçant] souhaite bénéficier via [la banque] de la mise à jour des données liées à la Carte de ses clients ou des Tokens associés (alias des données liées à la carte précitées) par exemple en cas de renouvellement de la Carte, il s’engage à :



    • recueillir le consentement explicite, libre et spécifique du titulaire de la Carte pour la mise à jour des

      données précitées, en veillant à ce que ce dernier reçoive une information préalable et exhaustive à cet

      effet,

      &nbsp;

      Plus qu’à attendre qu’Amazon me prévienne que ma carte va expirer d’ici peu… <img data-src=" />

      &nbsp;

      J’ai posé des questions à la banque, comme par exemple sur si on disposera d’une interface pour gérer les jetons de notre carte, mais le mail a été renvoyé au service juridique (en même temps j’ai vraiment fait le casse-couille limite juriste ce jour là…&nbsp;<img data-src=" /> ). J’attend toujours, et j’attendrai encore longtemps je pense <img data-src=" />



      En attendant, je doute que plus de 5 % des usagers de cartes bleues sont au courant de l’existence de ces jetons. Ils penseront plutôt que le commerçant conserve une copie des numéros.


votre avatar

Belle initiative d’investigation) Tu as déjà mieux bossé que 95% des journaleux en France !

Il y a peut être une faille où on demande subrepticement au client son consentement (la notion d’explicite est toute relative) mais normalement le cadre juridique européen (GDPR, DSP2) protège le consommateur d’un système qui avantagerait trop les commerçants.



Après quand des millions sont en jeu on peut mettre le paquet pour contourner une loi qui sera lente à évoluer.

https://www.ma-neobanque.com/renouvellement-carte-bancaire/

Mastercard et Amazon : un « jeton » pour remplacer les informations de la carte bancaire

Fermer