Académique Documents
Professionnel Documents
Culture Documents
PARTIE 1
4) Par "Système d’Acceptation", il faut entendre les logiciels, 10) Par "Point d’acceptation", on entend le lieu physique où
protocoles et équipements conformes aux spécifications est initié l’ordre de paiement.
définies par chaque Schéma et nécessaires à
l’enregistrement, à la transmission et au traitement 11) Par "Contrat ", il faut entendre ensemble les Conditions
sécurisé des ordres de paiement par Cartes portant l’une Générales communes à tous les Schémas (partie 1), les
des Marques dudit Schéma. L’Accepteur doit s’assurer dispositions spécifiques à chaque Schéma (partie 2) et les
que le Système d’Acceptation a fait l’objet d’un agrément conditions particulières convenues entre les Parties (ci-
par l’entité responsable du Schéma, le cas échéant en après les "Conditions Particulières").
consultant la liste des Systèmes d’Acceptation reconnus
par l’entité responsable du Schéma. 12) Par "Parties", il faut entendre la Banque et l’Accepteur.
7.3 Les nouvelles conditions entrent généralement en vigueur ARTICLE 9 - SUSPENSION DE L’ACCEPTATION
au terme d'un délai minimum fixé à 1 (un) mois à compter
de la notification sur support papier ou sur tout autre 9.1 La Banque peut procéder, pour des raisons de sécurité,
support durable. sans préavis et sous réserve du dénouement des opérations
en cours, à une suspension de l’acceptation des Cartes
7.4 Ce délai est exceptionnellement réduit à 5 (cinq) jours portant certaines Marques par l’Accepteur. La suspension
calendaires lorsque la Banque ou le Schéma concerné est précédée, le cas échéant, d’un avertissement à
constate, dans le Point d’acceptation, une utilisation l’Accepteur, voire d’une réduction de son seuil de
anormale de Cartes perdues, volées ou contrefaites. demande d’autorisation. Elle est notifiée par tout moyen et
doit être motivée. Son effet est immédiat.
7.5 Passés les délais visés au présent article, les modifications
sont réputées acceptées par l'Accepteur s'il n'a pas résilié Elle peut également intervenir à l’issue d’une procédure
le présent Contrat. Elles lui sont dès lors opposables. d’audit telle que visée à l’article 2.14 de la présente partie
1, au cas où le rapport révélerait un ou plusieurs
7.6 Le non-respect des nouvelles conditions techniques ou manquements tant aux clauses du présent Contrat qu’aux
sécuritaires, dans les délais impartis, peut entraîner la exigences du Référentiel Sécuritaire Accepteur annexé au
résiliation du présent Contrat. présent Contrat et/ou du Référentiel Sécuritaire PCI/DSS.
ARTICLE 15 - LOI APPLICABLE / TRIBUNAUX Le Schéma CB repose sur l'utilisation de Cartes portant la Marque
COMPETENTS CB (ci-après les « Cartes CB ») auprès des Accepteurs adhérant au
Schéma CB dans le cadre des seules dispositions et procédures
Le présent Contrat et toutes les questions qui s'y rapportent seront définies ou homologuées par le Groupement des Cartes Bancaires
régis par le droit français et tout différend relatif à l’interprétation, la CB (ci-après « GIE CB »).
validité et/ou l'exécution du présent Contrat est soumis à la
compétence des Tribunaux français, y compris les procédures
Le GIE CB intervient notamment, pour des raisons sécuritaires, dans
tendant à obtenir des mesures d’urgence ou conservatoires, en référé
les modifications du seuil de demande d'autorisation, la suppression
ou sur requête.
de l'acceptabilité de certaines Cartes CB ou application de paiement
CB et la suspension de l'adhésion au Schéma CB. Il établit les
ARTICLE 16 - LANGUE DU PRESENT CONTRAT
conditions du contrat d'adhésion, la banque définissant certaines
conditions spécifiques de fonctionnement. Lorsque la Banque
Le présent Contrat est le contrat original rédigé en langue française
représente le GIE CB, le terme de "représentation" ne concerne que
qui est le seul qui fait foi.
l'ensemble des conditions techniques d'acceptation de la Carte CB et
de remise des opérations à la Banque, et non la mise en jeu de la
garantie du paiement visée à l'article 4 de la partie 1.
PARTIE 2
ARTICLE 2 - DISPOSITIONS RELATIVES AUX CARTES
CB ET SOLUTIONS DE PAIEMENT CB
DISPOSITIONS SPECIFIQUES A CHAQUE SCHEMA
Sont utilisables dans le Schéma CB et dans le cadre du présent
DISPOSITIONS SPECIFIQUES AUX SCHEMAS VISA ET
Contrat:
MASTERCARD les Cartes sur lesquelles figure la Marque CB,
les solutions de paiement CB.
ARTICLE 1 - FONCTIONNEMENT DES SCHEMAS
ARTICLE 3 - DISPOSITIONS SUR l’ACCEPTATION DE
Les entités responsables des Schémas Visa et MasterCard sont: CARTES CB
VISA Inc.et VISA Europe ,
MasterCard International Inc. En complément des dispositions de la partie 1, l’Accepteur
s’engage:
Les Schémas reposent sur l'utilisation des Cartes portant les
Marques suivantes: - à accepter les Cartes CB pour le paiement d'achats de biens ou
Pour VISA Inc. et VISA Europe: de prestations de services offerts à sa clientèle et réellement
effectués (à l'exclusion de toute délivrance d'espèces ou de tout
Visa
titre convertible en espèces pour leur valeur faciale), même
VPAY
lorsqu'il s'agit d'articles vendus à titre de promotion ou de
ELECTRON
soldes, pour le paiement de dons ou en contrepartie du
Pour MasterCard International Inc.: règlement du montant de cotisations,
MasterCard
Maestro - à transmettre les enregistrements des opérations de paiement à la
Banque dans les délais prévus dans les Conditions Particulières
ARTICLE 2 - OBLIGATION DE LA BANQUE convenues avec lui. Au-delà d'un délai maximum de 6 (six)
mois après la date de l’opération, l'encaissement des opérations
Par dérogation à l’article 3.6 de la partie 1, la Banque s’engage à ne de paiement n'est plus réalisable dans le cadre du Schéma CB,
pas débiter, au-delà du délai maximum de 24 (vingt-quatre) mois à - en cas de demande d’audit par le GIE CB, à permettre à la
partir de la date du crédit initial porté au compte de l’Accepteur les Banque de faire procéder, aux frais de l'Accepteur, dans les
opérations de paiement non garanties et qui n’ont pu être imputées locaux de l’Accepteur ou dans ceux des tiers visés à l’article
au compte sur lequel fonctionne la Carte. 2.13 de la partie 1, à la vérification par un tiers indépendant du
respect tant des clauses du présent Contrat que des exigences du
ARTICLE 3 - GARANTIE DE PAIEMENT Référentiel Sécuritaire Accepteur et/ou du Référentiel
Sécuritaire PCI/DSS. Cette vérification, appelée « procédure
Pour les opérations de paiement réalisées à l’aide d’une Carte d’audit », peut intervenir à tout moment dès la conclusion du
émis(e) hors de l’EEE, la garantie de paiement n’est pas acquise en présent Contrat et/ou pendant sa durée.
cas de contestation du titulaire de la Carte liée à la relation sous-
jacente.
ARTICLE 4 - RECLAMATION
Les exigences présentées ci-après constituent le référentiel La politique d'accès aux locaux sensibles doit être formalisée
sécuritaire de la Banque qui doit être respecté à tout moment et les procédures doivent être établies et contrôlées.
par l'Accepteur.
Exigence 4 (E4) - Assurer la protection logique du système
Exigence 1 (E1) - Gérer la sécurité du système commercial commercial et de paiement
et de paiement au sein de l'entreprise
Les règles de sécurité relatives aux accès et sorties depuis et
Pour assurer la sécurité des données des transactions et vers le système commercial et de paiement doivent être
notamment, des données du porteur de Carte, une organisation, établies et leur respect doit être contrôlé.
des procédures et des responsabilités doivent être établies par Seul le serveur supportant l'application commerciale doit être
l'Accepteur. accessible par les internautes.
En particulier, un responsable de la sécurité du système Le serveur de base de données client ainsi que le serveur
commercial et de paiement doit être désigné. Il est chargé, hébergeant le système de paiement ne doivent être accessibles
entre autres, d'appliquer la législation sur la protection des que par le serveur commercial front-office et seulement par
données à caractère personnel et des données bancaires dans le l'intermédiaire d'un pare-feu.
cadre de leur utilisation et de leur environnement.
Les accès internes des utilisateurs comme des administrateurs à
Les détenteurs de droits d'usage des informations et du système ces mêmes serveurs doivent se faire par l'intermédiaire du
doivent être identifiés et sont responsables de l'attribution des pare-feu. L'architecture réseau doit être organisée de manière à
droits d'accès au système. ce que les règles de sécurité définies soient mises en oeuvre et
Le contrôle du respect des exigences de sécurité relatives au contrôlées. Le pare-feu doit être mis à jour systématiquement
système commercial et de paiement doit être assuré. lorsque des vulnérabilités sont identifiées sur ses logiciels
Une organisation chargée du traitement des incidents de (logiciel pare-feu et logiciel d'exploitation) et corrigeables.
sécurité, de leur suivi et de leur historisation doit être établie. Le serveur supportant le pare-feu doit être doté d'un outil de
contrôle de l'intégrité.
Exigence 2 (E2) - Gérer l'activité humaine et interne
Le pare-feu doit assurer l'enregistrement des accès et des
Les obligations et les responsabilités du personnel de tentatives d'accès dans un journal d'audit. Celui-ci doit être
l'Accepteur quant à l'utilisation des données bancaires et analysé quotidiennement.
confidentielles, à leur stockage et à leur circulation en interne
ou à l'extérieur doivent être établies. Exigence 5 (E5) - Contrôler l'accès au système commercial
Il en est de même pour l'utilisation des postes de travail et du et de paiement
réseau interne comme du réseau Internet. Le principe d'autorisation d'utilisation du système doit être
Les obligations et les responsabilités du personnel de défini et reposer sur la notion d'accès des classes d'utilisateurs
l'Accepteur quant à la protection des données bancaires et aux classes de ressources définition des profils d'utilisateurs et
confidentielles doivent être établies. L'ensemble de ces règles des droits accordés.
doit s'appliquer à tous les personnels impliqués : salariés de Les responsabilités et rôles quant à l'attribution, l'utilisation et
l'entreprise et tiers. le contrôle doivent être identifiés. Notamment, les profils, les
Les personnels de l'Accepteur doivent être sensibilisés aux droits et les privilèges associés doivent être validés par les
risques encourus, notamment sur la divulgation d'informations propriétaires des informations et du système commercial et de
confidentielles, l'accès non autorisé aux informations, aux paiement.
supports et aux documents. Ils doivent être régulièrement Les droits des utilisateurs et des administrateurs ainsi que de
sensibilisés aux risques particuliers liés à l'usage des moyens leurs privilèges, doivent être gérés et mis à jour conformément
informatiques (postes de travail en réseau, serveurs, accès à la politique de gestion des droits.
depuis ou vers Internet) et notamment, à l'introduction de
virus. Exigence 6 (E6) - Gérer les accès autorisés au système
Il convient que les personnels de l'Accepteur reçoivent une commercial et de paiement
formation appropriée sur l'utilisation correcte du système Aucune ouverture de droits ne peut se faire en dehors des
d'exploitation et du système applicatif commercial et de procédures d'autorisation adéquates. Les autorisations données
paiement. doivent être archivées et contrôlées régulièrement.
Exigence 3 (E3) - Gérer les accès aux locaux et aux Outre les accès clients, tout accès au système commercial et de
informations paiement doit se faire sur la base d'une identification et d'une
authentification.
Tout dispositif (équipement réseau, serveur, ...) qui stocke ou L'identification doit être nominative y compris pour les
qui traite des données relatives à une transaction, et notamment administrateurs et les personnels de maintenance. Les droits
des données du porteur de la Carte, doit être hébergé dans un accordés à ceux-ci doivent être restreints aux opérations qui
local sécurisé et répondre aux exigences édictées par les leur sont autorisées.
recommandations de la Commission Nationale de
L'utilisation de codes d'identification attribués à des groupes
l'Informatique et des Libertés (CNIL).
ou des fonctions (process techniques comme l'alimentation
Les petits matériels ou supports informatiques sensibles automatique des signatures antivirales) n'est autorisée que si
doivent être rendus inaccessibles à des tiers en période de non elle est appropriée au travail effectué.
utilisation. Notamment, les cartouches de sauvegarde doivent
Les changements de situation (changement de poste, départ...)
être stockées dans un coffre.
des personnels doivent systématiquement entraîner un contrôle
Dans le cas où ces petits matériels ou supports informatiques des droits d'accès attribués.
sensibles ne sont plus opérationnels, ils doivent être
La suppression des droits d'accès doit être immédiate en cas de
obligatoirement détruits et la preuve de leur destruction doit
départ d'une personne.
être établie.
Exigence 7 (E7) - Surveiller les accès au système Exigence 12 (E12) - Assurer la traçabilité des opérations
commercial et de paiement techniques (administration et maintenance)
Les accès et tentatives d'accès au système doivent être Les opérations techniques effectuées doivent être enregistrées
enregistrés dans des journaux d'audit. de manière chronologique, dans un cahier de bord pour
permettre la reconstruction, la revue et l'analyse en temps
L'enregistrement doit comporter au minimum la date et l'heure
voulu des séquences de traitement et des autres activités liées à
de l'accès (ou tentative) et l'identification de l'acteur et de la
ces opérations.
machine.
Les opérations privilégiées comme la modification des Exigence 13 (E13) - Maintenir l'intégrité des informations
configurations, la modification des règles de sécurité, relatives au système commercial et de paiement
l'utilisation d'un compte administrateur doivent également être
La protection et l'intégrité des éléments de la transaction
enregistrées.
doivent être assurés ainsi lors de leur stockage et lors de leur
Les systèmes assurant l'enregistrement doivent au minimum routage sur les réseaux (internes ou externes). Il en est de
être le pare-feu, le système supportant la base de données même pour les éléments secrets servant à chiffrer ces éléments.
clients ainsi que celui supportant la base de données paiements.
Le dossier de sécurité propre au système commercial et de
Les journaux d'audit doivent être protégés contre des risques paiement doit décrire les moyens mis en place pour répondre à
de désactivation, modification ou suppression non autorisées. cette exigence.
Les responsabilités et rôles quant à l'audit des données
Exigence 14 (E14) - Protéger la confidentialité des données
enregistrées sont identifiés. Celui-ci doit être effectué
bancaires
quotidiennement.
Les données du porteur de Carte ne peuvent être utilisées que
Exigence 8 (E8) - Contrôler l'introduction de logiciels pour exécuter l'ordre de paiement et les réclamations.
pernicieux
Le cryptogramme visuel d'un porteur de Carte ne doit en aucun
Les procédures et les responsabilités de gestion ayant trait à la cas être stocké par le commerçant.
protection anti-virus et à la restauration des données et des
Les données bancaires et à caractère personnel relatives à une
logiciels en cas d'attaque par virus doivent être définies et
transaction, et notamment les données du porteur de Carte,
formalisées.
doivent être protégées lors de leur stockage et lors de leur
L'installation et la mise à jour régulière des logiciels de routage sur les réseaux internes et externes au site
détection et d'élimination des virus doivent être effectuées sur d'hébergement conformément aux recommandations de la
la totalité des machines ayant accès au système commercial et Commission Nationale de l'Informatique et des Libertés
de paiement. (CNIL).
La vérification anti-virus doit être exécutée quotidiennement Il en est de même pour l'authentifiant du commerçant et les
sur la totalité des machines. éléments secrets servant à chiffrer.
Le dossier de sécurité propre au système commercial et de
Exigence 9 (E9) - Appliquer les correctifs de sécurité
paiement doit décrire les moyens mis en place pour répondre à
(patches de sécurité) sur les logiciels d'exploitation
cette exigence.
Les correctifs de sécurité doivent être systématiquement
appliqués sur les équipements de sécurité et les serveurs Exigence 15 (E15) - Protéger la confidentialité des
applicatifs frontaux pour fixer le code lorsque des identifiants/authentifiants des utilisateurs et des
vulnérabilités pourraient permettre des accès non autorisés et administrateurs
non visibles.
La confidentialité des identifiants - authentifiants doit être
Ces correctifs doivent être appliqués sur la base d'une protégée lors de leur stockage et de leur circulation.
procédure formelle et contrôlée.
Il convient de s'assurer que les données d'authentification des
administrateurs ne puissent être réutilisées.
Exigence 10 (El0) - Gérer les changements de version des
logiciels d'exploitation Dans le cadre d'une intervention extérieure pour maintenance,
les mots de passe utilisés doivent être systématiquement changés
Une procédure d'installation d'une nouvelle version doit être
à la suite de l’intervention.
établie et contrôlée.
Cette procédure doit prévoir entre autres, des tests de non
régression du système et un retour arrière en cas de
dysfonctionnement.