Pour l'exploitant de l'équipement.
Les fraudes à l'écrémage (skimming) ciblent les TPE mal surveillés. Former régulièrement le personnel à détecter : un lecteur de carte surdimensionné ou mal ajusté, une caméra de poing au-dessus du clavier PIN, un terminal légèrement décollé de son socle. En cas de doute, ne pas utiliser le terminal et alerter immédiatement le responsable. Intégrer ce point à la formation initiale de tout nouveau collaborateur manipulant des TPE.
Pour le technicien qui intervient.
Les TPE doivent fonctionner avec un firmware homologué PCI et non expiré. Consulter la liste des terminaux approuvés sur le site PCI SSC (pcisecuritystandards.org) et vérifier que le terminal n'est pas en fin de vie (EOL). Un terminal expiré ne reçoit plus les mises à jour de sécurité et expose les données cartes des clients. Planifier le remplacement des terminaux EOL 6 mois avant la date d'expiration.
La norme PCI PTS (Payment Card Industry PIN Transaction Security) impose l'intégrité physique des TPE. Inspecter chaque face du terminal : vis de boîtier intactes, stickers holographiques de scellement non décollés, pas de traces de perçage ou de collage de composants parasites (skimmer). Toute rupture du scellement impose le retrait immédiat du terminal, sa mise sous séquestre et la notification à l'acquéreur bancaire. Ne pas remettre en service sans expertise du fabricant.
Les fraudes à l'écrémage (skimming) ciblent les TPE mal surveillés. Former régulièrement le personnel à détecter : un lecteur de carte surdimensionné ou mal ajusté, une caméra de poing au-dessus du clavier PIN, un terminal légèrement décollé de son socle. En cas de doute, ne pas utiliser le terminal et alerter immédiatement le responsable. Intégrer ce point à la formation initiale de tout nouveau collaborateur manipulant des TPE.
Lors de l'inspection, effectuer une transaction de test (carte de test ou montant de 0,01 euro annulé immédiatement) pour vérifier : la lecture de la puce et de la piste magnétique, la saisie du code PIN (toutes les touches), l'impression du ticket. Un lecteur de puce encrassé provoque des rejets de transactions. Nettoyer les contacts du lecteur avec un kit de nettoyage cartes et documenter le résultat du test.
Pour le responsable / gestionnaire.
Le PCI DSS (norme de sécurité des données cartes) exige un inventaire documenté de tous les dispositifs de capture de PIN (TPE). Ce registre doit inclure : numéro de série, localisation physique, date d'installation, date de dernière inspection. L'inventaire doit être vérifié périodiquement pour détecter une substitution ou une disparition de terminal. Un terminal manquant doit être signalé sous 24h à l'acquéreur bancaire.
Pour l'auditeur et le contrôle de conformité.
Les TPE doivent fonctionner avec un firmware homologué PCI et non expiré. Consulter la liste des terminaux approuvés sur le site PCI SSC (pcisecuritystandards.org) et vérifier que le terminal n'est pas en fin de vie (EOL). Un terminal expiré ne reçoit plus les mises à jour de sécurité et expose les données cartes des clients. Planifier le remplacement des terminaux EOL 6 mois avant la date d'expiration.
La norme PCI PTS (Payment Card Industry PIN Transaction Security) impose l'intégrité physique des TPE. Inspecter chaque face du terminal : vis de boîtier intactes, stickers holographiques de scellement non décollés, pas de traces de perçage ou de collage de composants parasites (skimmer). Toute rupture du scellement impose le retrait immédiat du terminal, sa mise sous séquestre et la notification à l'acquéreur bancaire. Ne pas remettre en service sans expertise du fabricant.