Pour l'utilisateur au quotidien.
Avant l'ouverture du commerce, vérifier que le lecteur de carte ne présente pas de surépaisseur, que le clavier n'a pas été recouvert d'une fausse pellicule, et que les joints de sécurité sont intacts. Photographier l'état du terminal en début de journée. En cas de doute, ne pas utiliser le terminal et contacter votre banque acquéreur immédiatement.
La saisie du code PIN est le mécanisme d'authentification forte du porteur. Certains opérateurs, sous pression en période d'affluence, valident des transactions sans PIN (validation par signature papier ou sans authentification). Chaque transaction sans PIN valide laisse le commerçant responsable en cas de contestation de la part du porteur. En mode sans contact, la limite sans PIN est fixée à 50 euros par transaction en France (cumul limité à 150 euros).
Ne jamais prendre la carte des mains du client pour saisir le code PIN à sa place. Le client doit saisir son code lui-même, à l'abri des regards. Positionner le terminal de façon à ce que le clavier ne soit pas visible depuis la caisse ni de la file d'attente. Une saisie du code PIN vu par une tierce personne peut conduire à une fraude engageant votre responsabilité.
Si le terminal demande un code inhabituel, affiche un message d'erreur répété ou refuse des cartes qui fonctionnent sur un autre terminal, signalez-le à votre responsable et à l'assistance technique de l'acquéreur. Un terminal compromis peut collecter les données de carte des clients. Ne pas forcer les transactions sur un terminal douteux.
Pour l'exploitant de l'équipement.
Les dispositifs de capture de données de carte (skimmers) sont placés par des fraudeurs sur ou dans le lecteur de carte, parfois en quelques secondes. Avant chaque ouverture de commerce, vérifier que le lecteur de carte n'est pas décollé ou mal aligné, que le clavier PIN ne présente pas de surépaisseur, et que les joints de sécurité sont intacts. Photographier l'état du terminal en début de journée. En cas de doute, ne pas utiliser et contacter l'acquéreur.
La saisie du code PIN est le mécanisme d'authentification forte du porteur. Certains opérateurs, sous pression en période d'affluence, valident des transactions sans PIN (validation par signature papier ou sans authentification). Chaque transaction sans PIN valide laisse le commerçant responsable en cas de contestation de la part du porteur. En mode sans contact, la limite sans PIN est fixée à 50 euros par transaction en France (cumul limité à 150 euros).
Les mises à jour de firmware des terminaux corrigent des failles de sécurité et assurent la compatibilité avec les nouvelles normes de paiement. Les acquéreurs poussent généralement ces mises à jour automatiquement la nuit (hors ouverture de caisse). Vérifier mensuellement que la version du firmware correspond à la version préconisée par l'acquéreur dans son portail. Un terminal sans mise à jour depuis plus de 6 mois peut présenter des vulnérabilités connues.
Pour le technicien qui intervient.
Les mises à jour de firmware des terminaux corrigent des failles de sécurité et assurent la compatibilité avec les nouvelles normes de paiement. Les acquéreurs poussent généralement ces mises à jour automatiquement la nuit (hors ouverture de caisse). Vérifier mensuellement que la version du firmware correspond à la version préconisée par l'acquéreur dans son portail. Un terminal sans mise à jour depuis plus de 6 mois peut présenter des vulnérabilités connues.
Pour le responsable / gestionnaire.
Les dispositifs de capture de données de carte (skimmers) sont placés par des fraudeurs sur ou dans le lecteur de carte, parfois en quelques secondes. Avant chaque ouverture de commerce, vérifier que le lecteur de carte n'est pas décollé ou mal aligné, que le clavier PIN ne présente pas de surépaisseur, et que les joints de sécurité sont intacts. Photographier l'état du terminal en début de journée. En cas de doute, ne pas utiliser et contacter l'acquéreur.
Tout terminal de paiement (TPE) doit être certifié selon le standard PCI PTS (Payment Card Industry Pin Transaction Security) niveau 4 minimum. Depuis la directive DSP2 (UE 2015/2366), l'authentification forte (SCA) est obligatoire pour les transactions en ligne et pour certains paiements sans contact. Un terminal non certifié expose le commerçant à la prise en charge des fraudes et à des pénalités contractuelles de son acquéreur bancaire. Vérifier la date d'expiration de la certification PCI PTS (généralement 5 ans) sur le site du PCI Security Standards Council.
Les tickets et les données de transactions de paiement carte sont des pièces comptables justificatives. Ils doivent être conservés 10 ans en comptabilité (code de commerce L123-22). Les données de carte (numéro complet, CVV) ne doivent JAMAIS être stockées, même chiffrées, sur les systèmes du commerçant (norme PCI DSS, règle 3). Seuls les 4 derniers chiffres peuvent figurer sur le ticket remis au client.
Les frais de transaction carte représentent en moyenne 0,3 à 1,5 % du montant selon le type de carte (débit national, crédit, carte business, carte étrangère hors EEE). Pour un commerçant traitant 200 000 euros de chiffre d'affaires carte par an, un écart de 0,3 % représente 600 euros. Renegocier le contrat acquéreur tous les 2 ans et comparer les offres (Stripe, SumUp, Lyra, Ingenico, Worldline). Les frais de location de terminal sont souvent négociables ou inclus dans les nouvelles offres.
Pour l'auditeur et le contrôle de conformité.
Tout terminal de paiement (TPE) doit être certifié selon le standard PCI PTS (Payment Card Industry Pin Transaction Security) niveau 4 minimum. Depuis la directive DSP2 (UE 2015/2366), l'authentification forte (SCA) est obligatoire pour les transactions en ligne et pour certains paiements sans contact. Un terminal non certifié expose le commerçant à la prise en charge des fraudes et à des pénalités contractuelles de son acquéreur bancaire. Vérifier la date d'expiration de la certification PCI PTS (généralement 5 ans) sur le site du PCI Security Standards Council.
Les tickets et les données de transactions de paiement carte sont des pièces comptables justificatives. Ils doivent être conservés 10 ans en comptabilité (code de commerce L123-22). Les données de carte (numéro complet, CVV) ne doivent JAMAIS être stockées, même chiffrées, sur les systèmes du commerçant (norme PCI DSS, règle 3). Seuls les 4 derniers chiffres peuvent figurer sur le ticket remis au client.
Consignes courtes à afficher près de l'équipement.
Couvrez le clavier de votre main libre. Ne communiquez jamais votre code, meme au vendeur. En cas de fraude, contactez votre banque.
Si le lecteur de carte semble inhabituel (surépaisseur, clavier décollé, pièce rajoutée), ne pas glisser la carte. Le signaler au commerçant et contacter la banque.
Sans contact accepté jusqu'à 50 euros par transaction. Au-delà, saisir le code. Si refus en sans contact, insérez la carte et tapez votre PIN.