{ "uuid": "fd9fcd97cba5a132ff757cc6af197326", "slug": "pos-terminal-equipment", "lang": "fr", "audience": null, "count": 12, "conseils": [ { "uuid": "a8665236488f44e5b88bd811bb7186d4", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "N'utiliser que des terminaux certifiés PCI PTS et conformes DSP2", "content": "Tout terminal de paiement (TPE) doit être certifié selon le standard PCI PTS (Payment Card Industry Pin Transaction Security) niveau 4 minimum. Depuis la directive DSP2 (UE 2015/2366), l'authentification forte (SCA) est obligatoire pour les transactions en ligne et pour certains paiements sans contact. Un terminal non certifié expose le commerçant à la prise en charge des fraudes et à des pénalités contractuelles de son acquéreur bancaire. Vérifier la date d'expiration de la certification PCI PTS (généralement 5 ans) sur le site du PCI Security Standards Council." }, { "uuid": "dc14603e4ab8426bae26dfbb98d72a84", "category": "safety", "audience": [ "operator", "manager" ], "severity": "critical", "title": "Inspecter visuellement le terminal avant chaque ouverture de caisse pour détecter un skimmer", "content": "Les dispositifs de capture de données de carte (skimmers) sont placés par des fraudeurs sur ou dans le lecteur de carte, parfois en quelques secondes. Avant chaque ouverture de commerce, vérifier que le lecteur de carte n'est pas décollé ou mal aligné, que le clavier PIN ne présente pas de surépaisseur, et que les joints de sécurité sont intacts. Photographier l'état du terminal en début de journée. En cas de doute, ne pas utiliser et contacter l'acquéreur." }, { "uuid": "3300fde96b8341dcae1582fead0785e9", "category": "maintenance", "audience": [ "technician", "operator" ], "severity": "recommended", "title": "Mettre à jour le firmware du terminal dès publication par l'acquéreur", "content": "Les mises à jour de firmware des terminaux corrigent des failles de sécurité et assurent la compatibilité avec les nouvelles normes de paiement. Les acquéreurs poussent généralement ces mises à jour automatiquement la nuit (hors ouverture de caisse). Vérifier mensuellement que la version du firmware correspond à la version préconisée par l'acquéreur dans son portail. Un terminal sans mise à jour depuis plus de 6 mois peut présenter des vulnérabilités connues." }, { "uuid": "f64081245b3c4e588b2a2264421f7a88", "category": "operational", "audience": [ "operator", "end_user" ], "severity": "mandatory", "title": "Ne jamais contourner la saisie du code PIN sous prétexte de rapidité", "content": "La saisie du code PIN est le mécanisme d'authentification forte du porteur. Certains opérateurs, sous pression en période d'affluence, valident des transactions sans PIN (validation par signature papier ou sans authentification). Chaque transaction sans PIN valide laisse le commerçant responsable en cas de contestation de la part du porteur. En mode sans contact, la limite sans PIN est fixée à 50 euros par transaction en France (cumul limité à 150 euros)." }, { "uuid": "d922a5fddee2482ea6fc5d61bc630be0", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "Conserver les tickets de caisse et les relevés de transactions selon les obligations comptables", "content": "Les tickets et les données de transactions de paiement carte sont des pièces comptables justificatives. Ils doivent être conservés 10 ans en comptabilité (code de commerce L123-22). Les données de carte (numéro complet, CVV) ne doivent JAMAIS être stockées, même chiffrées, sur les systèmes du commerçant (norme PCI DSS, règle 3). Seuls les 4 derniers chiffres peuvent figurer sur le ticket remis au client." }, { "uuid": "5ac4e76a6e724da4b88a7748308e38e7", "category": "economic", "audience": [ "manager" ], "severity": "recommended", "title": "Comparer les taux de commission des acquéreurs lors du renouvellement du contrat", "content": "Les frais de transaction carte représentent en moyenne 0,3 à 1,5 % du montant selon le type de carte (débit national, crédit, carte business, carte étrangère hors EEE). Pour un commerçant traitant 200 000 euros de chiffre d'affaires carte par an, un écart de 0,3 % représente 600 euros. Renegocier le contrat acquéreur tous les 2 ans et comparer les offres (Stripe, SumUp, Lyra, Ingenico, Worldline). Les frais de location de terminal sont souvent négociables ou inclus dans les nouvelles offres." }, { "uuid": "f3c43f5ea2494ac09b9b6951172b95e7", "category": "safety", "audience": [ "end_user" ], "severity": "critical", "title": "Inspecter le terminal avant chaque ouverture pour détecter un dispositif frauduleux", "content": "Avant l'ouverture du commerce, vérifier que le lecteur de carte ne présente pas de surépaisseur, que le clavier n'a pas été recouvert d'une fausse pellicule, et que les joints de sécurité sont intacts. Photographier l'état du terminal en début de journée. En cas de doute, ne pas utiliser le terminal et contacter votre banque acquéreur immédiatement." }, { "uuid": "1f66a16a0aff462e9a410dc041770a01", "category": "operational", "audience": [ "end_user" ], "severity": "mandatory", "title": "Toujours laisser le client saisir son code PIN lui-même", "content": "Ne jamais prendre la carte des mains du client pour saisir le code PIN à sa place. Le client doit saisir son code lui-même, à l'abri des regards. Positionner le terminal de façon à ce que le clavier ne soit pas visible depuis la caisse ni de la file d'attente. Une saisie du code PIN vu par une tierce personne peut conduire à une fraude engageant votre responsabilité." }, { "uuid": "28d2a7a5d2f04ecf87fcdad9b77f0423", "category": "safety", "audience": [ "end_user" ], "severity": "recommended", "title": "Signaler immédiatement tout terminal qui se comporte de façon anormale", "content": "Si le terminal demande un code inhabituel, affiche un message d'erreur répété ou refuse des cartes qui fonctionnent sur un autre terminal, signalez-le à votre responsable et à l'assistance technique de l'acquéreur. Un terminal compromis peut collecter les données de carte des clients. Ne pas forcer les transactions sur un terminal douteux." }, { "uuid": "d9664f2143f343d6bb7b7523668cf126", "category": "safety", "audience": [ "public_display" ], "severity": "mandatory", "title": "Proteger son code PIN des regards", "content": "Couvrez le clavier de votre main libre. Ne communiquez jamais votre code, meme au vendeur. En cas de fraude, contactez votre banque." }, { "uuid": "443383a39e1447ebaee522383c0147e7", "category": "safety", "audience": [ "public_display" ], "severity": "recommended", "title": "Signaler un terminal qui semble modifié", "content": "Si le lecteur de carte semble inhabituel (surépaisseur, clavier décollé, pièce rajoutée), ne pas glisser la carte. Le signaler au commerçant et contacter la banque." }, { "uuid": "334630d4ce944999b775d8202aa6bc33", "category": "operational", "audience": [ "public_display" ], "severity": "info", "title": "Saisir le PIN au-delà de 50 euros", "content": "Sans contact accepté jusqu'à 50 euros par transaction. Au-delà, saisir le code. Si refus en sans contact, insérez la carte et tapez votre PIN." } ] }