Plateforme de e-Commerce conforme 3D-Secure

Cahier des Charges - Mai 2011

Cahier des Charges pour la mise en place dune solution informatique

dautomatisation des encaissements chques
Objectifs du systme mettre en place :
Dans le cadre de la mise niveau de son systme de paiement par internet, la Poste Tunisienne vise
mettre en place un systme gestion des transactions de paiement en ligne selon le protocole 3D-Secure cr
par les metteurs internationaux Visa (Verified By Visa) et Mastercard (Mastercard Secure Code).
Ce systme devra tre bas sur une passerelle de paiement multi-devises, multi-langues et multi-marchands
et rpondre aux exigences PCI Council (Payment Card Industry) en termes de scurit.
Fonctionnalits :
La passerelle de gestion des transactions de paiement sur Internet doit sintgrer entre les marchands et le SI
de la Poste (SIP) et prendre en charge la communication et lchange des messages aves les entits 3DSecure (serveur dannuaire et serveur de contrle daccs), le SIP et le marchand pour le droulement de la
transaction.
La solution doit offrir les fonctionnalits suivantes :
- Gestion des marchands affilis la poste tunisienne.
- Gestion de la facturation des transactions.
- Traitement des demandes de paiement en respectant le protocole 3DSecure.
- Maintien dun log de toutes les transactions traites.
- Intgrer un systme de notification par e-mail et par SMS paramtrable.
- Possder une interface de gestion simple et un contrle daccs efficace.
- tre multi-marchands et multidevises.
Synoptique de la solution mettre en place :

Page 1 sur 5

Plateforme de e-Commerce conforme 3D-Secure

Cahier des Charges - Mai 2011

Principe de fonctionnement :
La solution demande se compose dune plateforme temps rel qui assure la prise en charge des transactions
inities par les internautes en leur faisant subir les contrles dintgrit et de scurit ncessaires, en les
inscrivant sur un fichier journal et en les acheminant vers les systmes externes concerns en temps rel.
Caractristiques techniques :
Modes de paiement pris en charge : paiement par cartes bancaires selon le protocole 3D-Secure
Solution ligible la certification PA-DSS dans sa dernire version
La requte de transaction doit tre valide par la vrification de sa signature numrique
La vrification des certificats doit se faire en ligne en utilisant le protocole OCSP (Online Certificate
Status Protocol).
Authentification forte pour les utilisateurs et les administrateurs du systme
Pour la communication avec les systmes externes, la plateforme doit offrir ses services via des WEB
services scuriss
Des alertes paramtrables doivent pouvoir tre dclenches via SMS et e-mail en cas dexpiration ou
de rvocation des certificats.
La synchronisation avec des serveurs de temps NTP (Network Time Protocol) doit tre intgre dans
la solution.
Assurer une gestion multitche des requtes de transaction et dadministration.
Produire des tats priodiques (journaliers, hebdomadaires, ) permettant au back-office deffectuer
les oprations de contrle et de rapprochement automatiquement (relevs dtaills des transactions,
archivage et consultation des transactions)
La solution doit tre homologue par une instance nationale suivant les lois et dcrets en vigueur.
La solution doit tre dorigine Tunisienne. Le soumissionnaire devra produire un certificat dorigine
dlivr par la Chambre de Commerce et dIndustrie.
Consistance de la demande :
Sachant que la plateforme informatique (matriels et logiciels systme) tant fournie par la Poste Tunisienne,
le soumissionnaire doit proposer une solution comprenant :
Le progiciel applicatif,
La formation du personnel de la Poste,
Les services daccompagnement et dassistance au dmarrage,
La maintenance corrective du systme pour une priode de 1 an compter de la date de la rception
provisoire.
Offre technique :
Le soumissionnaire doit dtailler dans son offre technique le Plan dassurance Qualit du projet (PAQ)
comprenant :
- larchitecture physique et logique de la solution,
- les prrequis en hardware et software systme, en quipements rseau et firewalls, pour les
scnarios de dploiement suivants :
Scnario 1 : Un systme de production SP (un serveur) et un systme de tests et de
qualifications (STQ) scuriss
Scnario 2 : Un SP en haute disponibilit et un STQ scuriss
Scnario 3 : Un SP en haute disponibilit, un site de backup (SB) et un STQ scuriss
- le plan de formation du personnel,
- le planning de ralisation pour le scnario 1,
- la constitution de lquipe.
Loffre doit tre accompagne :
- dune proposition de contrat de maintenance dune dure de 5 ans aprs la priode de garantie,
- dun certificat dorigine remis par lautorit comptente prouvant lorigine Tunisienne du progiciel,
Page 2 sur 5

Plateforme de e-Commerce conforme 3D-Secure

Cahier des Charges - Mai 2011

- dune attestation dhomologation du progiciel conformment la lgislation en vigueur,

- tous autres documents officiels pouvant servir de justificatifs fonctionnels et/ou rglementaires.
Le soumissionnaire doit mettre la disposition de la Poste Tunisienne une plateforme de tests qui servira
la vrification de la conformit de la solution par rapport aux exigences de ce cahier des charges.
Dlais :
Les dlais de ralisation sont au maximum de 60 jours pour la mise en place de la solution et les tests de bon
fonctionnement.
Le dploiement de la solution dans le contexte de production sera constat dans un PV de rception
provisoire sign par les deux parties.
La date de ce PV dtermine le dmarrage de la priode de 1 an de garantie.

Page 3 sur 5

Plateforme de e-Commerce conforme 3D-Secure

Cahier des Charges - Mai 2011

Tableau des exigences techniques et fonctionnelles

Caractristiques gnrales
Fonctionnalits
Conformit au protocole 3DSecure

Compatibilit avec VISA et MasterCard

Prise en charge des transactions sur Internet
par carte bancaire
Communication avec le systme
dinformation de la poste
Communication avec les processeurs
nationaux et internationaux
Interface de Gestion

Prise en charge du protocole NTP

Fonctionnement multitches et multithread
Multi-marchands et multidevises
Origine
Possibilit dextension vers dautres
mcanismes de paiement par carte bancaire

Exigences liminatoires
La plateforme doit respecter la norme 3DSecure dans
lacheminement des transactions de paiement sur Internet. Tous
les tests inclus dans le document 3-D Secure Production
Integration Testing (PIT) - Test Plan Guide Version 2.2
doivent tre conclus avec succs.
La solution doit prendre en charge les cartes VISA et
MasterCard.
Les transactions Card not present doivent tre prises en
charge par la plateforme.
La solution doit tre capable de communiquer avec le SIP via
des WEB Services scuriss
La solution doit supporter les protocoles BASE 24 et ISO 8583
pour la communication avec les processeurs.
La gestion des comptes partenaires (Inscription, mise jour des
certificats, activation et dsactivation du compte, ) doit se
faire via une interface et non par le biais des fichiers scripts ;
assurant, ainsi, la journalisation de toutes les actions opres
sur la plateforme.
La synchronisation avec des serveurs de temps NTP (Network
Time Protocol) doit tre intgre dans la solution.
Assurer une gestion multitche multithread des requtes de
transaction et dadministration.
La solution doit prendre en charge tous les marchands affilis
dans toutes les devises.
La solution doit tre dorigine Tunisienne. Le soumissionnaire
devra produire un certificat dorigine dlivr par lautorit
comptente en la matire.
La plateforme doit pouvoir stendre pour intgrer dautres
modes de paiement soit par chque ou par les terminaux de
paiement (PIN Entry Device, TPE)

Scurit
Conformit la rglementation internationale
selon les recommandations du PCI Council
Gestion des requtes

Protocoles de communications
Vrification des certificats des marchands
affilis
Contrle daccs pour les utilisateurs et
Page 4 sur 5

La solution doit tre ligible la certification PA-DSS dans sa

dernire version.
- Les donnes relatives la transaction et inities par le
site marchand doivent rester chiffres tout le long du
processus de paiement : Le porteur de la carte ne doit,
en aucun cas, accder aux donnes changes entre
le systme dinformation du marchand et la plateforme.
- Selon le protocole 3DSecure, la vrification de la
signature de rponse de la banque mettrice et
obligatoire.
La plateforme ne doit accepter que les connexions scurises
(TLS V1.0.).
La vrification des certificats doit se faire en ligne en utilisant le
protocole OCSP (Online Certificate Status Protocol).
Lauthentification des utilisateurs voulant grer la plateforme doit

Plateforme de e-Commerce conforme 3D-Secure

administrateurs du systme
Alertes paramtrables
Homologation de lANCE

Cahier des Charges - Mai 2011

se faire par un jeton PKCS11 dont la partie publique doit tre

enregistre sur la passerelle.
Des alertes paramtrables doivent pouvoir tre dclenches en
temps rel via SMS et e-mail en cas dexpiration ou de
rvocation des certificats.
La solution doit tre homologue par lANCE (Agence Nationale
de Certification Electronique) conformment la rglementation
en vigueur.

Gestion des marchands affilis

Gestion des marchands affilis la poste
Journalisation des vnements
Gestion de la facturation des transactions
Calcul paramtrable des commissions
Fichiers des transactions
Etats et statistiques

Mise jour des devises

Page 5 sur 5

Gestion des contrats, tarifications, rglements commerants,

statistiques, gestion des terminaux lis au commerant
Toutes les transactions (abouties ou non) doivent tre
enregistres avec les dtails ncessaires (nom du commerant,
identifiant du terminal, lempreinte du numro de la carte)
La plateforme doit comprendre un systme de facturation
complet pour les marchands.
La solution doit offrir la possibilit de rgler la facturation en se
basant sur un systme de profils (taux de TVA, frais sur les
transactions).
La passerelle doit offrir pour les marchands la possibilit de
rcuprer leurs logs.
Le systme doit produire des tats priodiques (journaliers,
hebdomadaires, ) permettant au back-office deffectuer les
oprations de contrle et de rapprochement automatiquement
(relevs dtaills des transactions, archivage et consultation
des transactions).
La mise jour du taux de change doit se faire automatiquement
partir du SIP.