Post de Memority

La mise en œuvre des modifications induites par la version 4.0 se justifie par quatre raisons clés :  * veiller à ce que la norme respecte les exigences relatives aux paiements numériques sécurisés; * promouvoir la sécurité en tant que processus dynamique continu; * rendre les procédures de validation plus robustes; * soutenir toute méthodologie supplémentaire qui tend vers les mêmes objectifs de sécurité. Environ 08 mois pour se conformer à la version 4.0, avant que les émetteurs internationaux débranchent tous les VAP..

Authentification forte, une obligation ? La Directive sur les Services de Paiement 2 (DSP2) est une réglementation de l'Union Européenne entrée en vigueur le 13 janvier 2018. Le principe est simple, il s'agit d'une authentification forte pour authentifier l'utilisateur et éviter que votre login/password soit suffisant dans les cas d'utilisation de service de paiement. Qu'est-ce que l'authentification forte 🛡️? L'authentification forte, également connue sous le nom de Strong Customer Authentication (SCA), requiert que les utilisateurs prouvent leur identité en répondant à au moins deux des trois critères suivants avant de procéder à un paiement ou d'accéder à leur compte en ligne : quelque chose que l'utilisateur sait (comme un mot de passe ou code), quelque chose que l'utilisateur possède (comme un téléphone mobile ou une carte à puce), et quelque chose unique à l'utilisateur (comme une empreinte digitale ou reconnaissance faciale). Cette exigence est devenue obligatoire pour la majorité des transactions en ligne 💳 depuis le 14 septembre 2019. En France, l'authentification forte est requise pour tous les achats en ligne dépassant 30 euros depuis le 15 mai 2021. Et le 2FA ? La Directive sur les Services de Paiement 2 (DSP2) exige une authentification renforcée des clients, ce qui inclut des principes similaires à ceux de la 2FA pour les opérations de paiement et l'accès aux comptes en ligne. Conseil Intégrer une authentification à deux facteur login + mot de passe + code sms ou code email est nécessaire pour sécuriser tous les accès actuellement. Cela demande un peu de travail et une bonne analyse de votre workflow pour éviter les frictions utilisateurs. Oui mais ... on peut dupliquer ma carte SIM et recevoir mes sms Non, depuis que les smartphones intègrent une puce de sécurité. C'est elle qui par exemple gère les DRM pour visualiser les vidéos des services VOD, mais pas uniquement. Par exemple un téléphone modifié (Rooter) ne pourra activer les certifications pour la réception de SMS sécurisés. L'une des premières puces de 2018 pour le grand public, elle se prénomme Titan M2 actuellement pour Android et Secure enclave qui est intégré dans le cœur des processeurs des iPhone. En résumé, l'authentification forte est nécessaire, facile à mettre en place et sécurisée 🔑

Une grosse évolution est en perspective : Nous avons découvert comment utiliser notre format d'adresses un peu spécial pour "cacher le mot de passe" dans le processus Diffie-Hellman de nos transactions Silent Payments. Ce n'est pas tout : à chaque connexion, ce mot de passe, qui chiffre des parties spécifiques du MPC de la clé privée servant de base à l'identité, sera automatiquement modifié. Ainsi, le mot de passe reste "invisible" et n'est pas demandé à l'utilisateur, tout en changeant à chaque connexion. Cela s'ajoute à l'existant, comme le 2FA natif, le MPC et l'annuaire anonyme basé sur les adresses Silent Payments. Ainsi, il ne sera nécessaire d'utiliser un mot de passe que pour la première utilisation du premier service sur le réseau 4NK. C'était un objectif initial ; désormais, nous allons pouvoir proposer une connexion sans mot de passe (sauf pour la première création d'identité numérique).

L’#EUDIWallet entre en vigueur ! Le 20 mai 2024 est entré en vigueur un cadre juridique européen relatif à un portefeuille d’identité numérique, l’EUDI wallet sécurisé et fiable pour tous les Européens. ➡️ Son but ? Permettre l’identification et l’authentification des citoyens de toute l’UE, soulevant des inquiétudes autour des questions de souveraineté numérique et en matière d’interopérabilité. Découvrez ce qu’est l’EUDI Wallet, son champs d’application, les deadlines pour l’application, des État-membre de l’#UE ainsi que ces enjeux en termes d’interopérabilité, cybersécurité et souveraineté numérique ! https://lnkd.in/etKJgHbs On en parlait en mars dernier sur l"#IDKYCForum avec : Romain Santini, directeur de programme transverse, DOCAPOSTE Hugo MANIA, Coordinateur Orientations Industrielles, ANSSI - Agence nationale de la sécurité des systèmes d'information -et Ecole des mines Florent TOURNOIS, directeur de projet, France Titres - France Titres - Agence nationale des titres sécurisés - ANTS  Stephane MOUY, président, SGM Consulting,  Erik R. VAN ZUUREN - Fondateur et PDG, TrustCore.EU  Sébastien Ferreri (modération) ➡ https://lnkd.in/eHW6kBbg

Le quantique et l’identité numérique entrent dans la sécurité des moyens de paiement. Les avancées de l’ordinateur quantique et la sécurité dans les paiements ne font pas bon ménage. Cependant, des algorithmes permettant de contrer cette technologie sont déjà en cours de développement. L’identité numérique, pour laquelle la France est en retard, constitue un autre point à surveiller car il reste difficile de répondre à tous les standards européens tout en ne dégradant pas le parcours client. À lire ici 👉 https://lnkd.in/eUMreR_m Par Alexandra Oubrier.   Découvrez le Décryptage de L'Agefi, un article d'analyse pour approfondir un sujet d'actualité. 👉Tous nos décryptages sont à retrouver ici :https://lnkd.in/exURgpFR

🔍La vérité sur la sécurité de nos pass numériques ou wallet Ethereum 🔎 Le wallet est sécurisé grâce à un ensemble de techniques cryptographiques afin de garantir son intégrité. 𝐄𝐭 𝐯𝐨𝐢𝐜𝐢 𝐜𝐨𝐦𝐦𝐞𝐧𝐭 👇 1️⃣ 𝗖𝗹𝗲 𝗣𝗿𝗶𝘃𝗲𝗲 & 𝗖𝗹𝗲 𝗣𝘂𝗯𝗹𝗶𝗾𝘂𝗲 : ✅Clé privée : Une clé privée est une suite de 256 bits générée aléatoirement. C'est la pièce maîtresse de la sécurité d'un wallet Ethereum qui doit rester secrète. ✅Clé publique : À partir de la clé privée, une clé publique est générée à l'aide d'une fonction de hachage cryptographique. Dans le cas d'Ethereum, la courbe elliptique SECP256k1 est utilisée pour cette opération. 2️⃣ 𝐀𝐝𝐫𝐞𝐬𝐬𝐞 𝐄𝐭𝐡𝐞𝐫𝐞𝐮𝐦 : ✅Hachage Keccak-256 : La clé publique est d'abord hachée à l'aide de l'algorithme Keccak-256 ✅Tronquer le hachage : Les 20 derniers octets (40 caractères hexadécimaux) du résultat du hachage sont utilisés pour former l'adresse Ethereum. 3️⃣ 𝐒𝐢𝐠𝐧𝐚𝐭𝐮𝐫𝐞𝐬 𝐂𝐫𝐲𝐩𝐭𝐨𝐠𝐫𝐚𝐩𝐡𝐢𝐪𝐮𝐞𝐬 : 👉Lorsque vous souhaitez effectuer une transaction, celle-ci doit être signée par la clé privée associée au wallet. 👉Cette signature prouve que vous êtes bien le propriétaire du wallet sans pour autant révéler la clé privée. Voici le processus : ✅Création d'une signature : La transaction (ou son hachage) est signée avec la clé privée à l'aide de l'algorithme ECDSA. ✅Validation : Le réseau Ethereum utilise la clé publique dérivée de cette signature pour vérifier que la transaction a bien été signée par le propriétaire de la clé privée correspondante. 4️⃣ 𝐏𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧 𝐝𝐞 𝐥𝐚 𝐂𝐥𝐞 𝐏𝐫𝐢𝐯𝐞𝐞 : Seed Phrase : Une phrase mnémonique (généralement 12 ou 24 mots) est utilisée pour générer la clé privée. Cette phrase doit être stockée en sécurité, car elle permet de recréer le wallet en cas de perte. Stockage : La clé privée peut être stockée de manière sécurisée sur un appareil (ex. : hardware wallet) ou dans un fichier chiffré (ex. : keystore file) ou tout simplement un bout de papier 😉. Voici un rapide tour d'horizon de la sécurité apporté par le pass numérique ainsi que ces techniques cryptographiques. Ce sont ces mêmes avantages que nous utilisons chez Sewlau pour sécuriser votre authentification. ----------- Je publie régulièrement sur la cybersécurité et la CIAM. Pour ne pas louper mes prochains posts : 1) Abonne-toi 2) Pense à liker celui-ci (merci ❤️)

Tessi-devoile-solution-plusieurs-niveaux-verification-identite-distance [https://lnkd.in/ep5d9hwm] Accessible en mode SaaS, la solution Certigna VERIF ID intègre trois niveaux de vérification tout en se conformant aux nouvelles réglementations européennes. Alors que les cas de cyberattaques ne cessent de se multiplier, Tessi annonce le lancement de Certigna VERIF ID, une solution SaaS à plusieurs niveaux de vérification d'identité à distance. Accessible en mode SaaS, la solution propose trois niveaux de vérification à commencer par une vérification simple pour les opérations courantes à faible risque : contrôle de pièces d’identité en quelques secondes automatisé par l’intelligence artificielle à partir d’un corpus de plus de 350 titres d’identité internationaux. [...] Lire la suite de cet article sur Archimag.com [https://lnkd.in/e3q_ecn3]

L'utilisation du terme « basé sur la carte » reconnaît que les nouveaux canaux de paiement s'étendent au-delà des simples cartes pour inclure des méthodes et des technologies qui ne nécessitent pas l'utilisation d'une carte physique. Le mandat du Conseil continuera de se concentrer sur la sécurité des données de compte pour les paiements par carte réseau, qu'une carte soit impliquée ou non.   Les normes et les programmes auxquels le Conseil accorde la priorité ainsi que la manière dont l’organisation met en œuvre ces initiatives sont tous guidés par le Cadre stratégiques Par exemple, le nouveau processus de demande de commentaires (RFC) reconnaît l’importance de la participation de l’industrie au processus d’élaboration des normes afin de continuer à fournir des ressources qui répondent aux besoins et aux défis de l’industrie. Avec PCI DSS v4.0, nous faisons évoluer la norme et le programme de validation pour prendre en charge une gamme d'environnements, de technologies et de méthodologies pour atteindre la sécurité. Nos normes d’acceptation des paiements mobiles sont conçues pour prendre en charge l’acceptation sécurisée des paiements dans les canaux de paiement nouveaux et émergents. En effet, toutes nos normes rassemblent de multiples perspectives et exigences de sécurité dans une norme de sécurité des données harmonisée pour le secteur, dans le but de favoriser une mise en œuvre efficace par les parties prenantes. Le Conseil s'efforce également d'aligner les efforts avec d'autres organismes de normalisation afin de réduire la redondance et la confusion potentielle. Le programme PIN Security Standard and Assessor est un excellent exemple de cette mise en pratique. Alors que nous cherchons à poursuivre ces efforts depuis 2020 et au-delà, dans un environnement en évolution rapide, les parties prenantes peuvent être certaines que la participation, l’évolution, l’alignement et la cohérence de l’industrie seront des constantes dans les efforts du Conseil pour fournir des normes et des ressources pour sécuriser les données de paiement. ---------------- Dr Al Wubatala Pdt du PCI-SSC Afrique

🛡️ La protection de vos #cryptomonnaies n’a jamais été aussi efficace qu’avec Seedkeeper. Découvrez cette carte à puce révolutionnaire pour sécuriser vos mots de passe et seedphrases. Notre présentation complète 👇 https://lnkd.in/dcbM5MgE